د Python 3.5.8 پرځای، غلط نسخه په غلطۍ سره ویشل شوې وه

د یوې غلطۍ له امله کله چې د مینځپانګې تحویلي سیسټم کې کیشینګ تنظیم کول ، کله چې د یو مجلس ډاونلوډ کولو هڅه کول خپور شوی یوه ورځ مخکې اصلاحي خوشې کول پیټون 3.5.8 خپراوی یو مخکتنه جوړونه چې ټول اصلاحات پکې نه وي. ستونزه لمس کړ یوازې آرشیف Python-3.5.8.tar.xz، مجلس Python-3.5.8.tgz په سمه توګه ویشل شوی.

ټول هغه کاروونکي چې د خوشې کیدو وروسته په لومړیو 3.5.8 ساعتونو کې یې "Python-12.tar.xz" فایل ډاونلوډ کړی مشوره ورکول کیږي چې د چیکسم (MD5 4464517ed6044bca4fc78ea9ed086c36) په کارولو سره د ډاونلوډ شوي ډیټا درستیت وګوري. د وروستي ریلیز برعکس، د مخکتنې نسخه شامله نه وه اصلاح زیانمنتیاوې CVE-2019-16935 په XML-RPC سرور کوډ کې. زیانمنتیا د سرور_title ساحې له لارې جاوا سکریپټ انجیکشن (XSS) ته اجازه ورکړه چې د زاویې بریکٹ د وتلو نشتوالي له امله. یو برید کونکی کولی شي د جاوا سکریپټ بدیل ترلاسه کړي که چیرې غوښتنلیک د کارن ان پټ پراساس د سرور نوم ټاکي (د مثال په توګه ، "server.set_server_name('test) ’)»).

سرچینه: opennet.ru